por MC Hugo Gonzalez
¿Alguna vez han querido saber de donde les llega un correo? No precisamente quién se los manda, que esa es otra historia, pero al menos saber donde se originó ese pedazo de información. A continuación voy a presentar un breve caso donde me llegó un correo, de supuestamente una alumna, pero el tema era ... ejem... relacionado con paginas de contenido para adultos e intercambios se... ejem, bueno para descartar un posible amor platónico realicé una breve investigación para estar cuasi-seguro que era un correo falso, descubrir que fue generado en Argentina y nada que ver con mi alumna; solo que su cuenta posiblemente está comprometida, pero esa, esa es otra historia.
El 23 de febrero por la mañana recibo un correo de "Elizabeth" donde mi invita a unirme al "FB del sexo", y me da una liga donde registrarme. De entrada me parece un correo de esos que se envían masivamente para distribuir y propagar malware. Aunque una rápida visita con navegador "lynx", que es solo texto y muy básico para sondear la situación me muestra que en efecto es un sistema de registro para amigos "sexosos" ...
El correo de origina de "amiga_29@hotmail.com" y me llega a mi bandeja de gmail, bingo, Hotmail como proveedor de cuentas de correo incluye un encabezado en sus correos que incluye la ip donde se origina el correo, no importa si lo utilizan por web o por otro medio. Para verlo, solo tenemos que buscar en nuestro cliente de correo para que nos muestre todos los encabezados, en el caso de gmail, en el combo desplegable en la parte superior del correo, podemos buscar mostrar original.
En la parte superior vienen todas las transacciones entre los distintos servidores de correo, pero por lo pronto nos interesan los siguientes encabezados.
X-Originating-IP: [190.188.63.182]
X-Originating-Email: [amiga_29@hotmail.com]
Que son los que nos indican de que cuenta de correo se generó, y que IP originó el correo. aunque estos número tal vez no te digan nada, puedes utilizar algunas herramientas del sistema para buscar más información, por ejemplo usar nslookup y la dirección ip.
nslookup 190.188.63.182
de entre las respuestas, esta es la nos interesa, que nombre está asociado a esa máquina, y por el puro nombre podemos suponer que es un servicio de Banda Ancha, ofrecido por prima.net.ar y que está en Argentina.
Non-authoritative answer:
182.63.188.190.in-addr.arpa name = 182-63-188-190.cab.prima.net.ar.
para corroborar esta intuición, o en caso de que nslookup no regresa información, podemos utilizar whois, esta herramienta viene por defecto en casi todos los linux, o pueden buscar un servicio en línea para consultarla.
El resultado es un poco extenso, pero con eso pueden verificar que el rango de direcciones donde ese encuntra esta en particular está asignada a Argentina.
También podemos intentar geoposicionarla, es decir buscar en un mapa donde está registrada la dirección, es decir que latitud y longitud tiene, aunque es probable que esta no sea completamente correcta, al menos nos puede dar una idea de por donde está. [ Como comentario, alguna vez en algun sito les ha aparecido, te conectas de GDL, MEX, o SLP ] Para esto existen diferentes demos de servicios en línea que te dan los coordenadas, o incluso te muestran el mapa. Ya con las coordenadas vas a tu software de mapas preferido y puedes ver un aproximado de la localización.
Entonces, este correo se origino en Argentina, incluso si ponemos atención en otro encabezado :
Received: from [192.168.1.1] ([190.188.63.182]) by BLU0-SMTP133.blu0.hotmail.com over TLS secured channel with Microsoft SMTPSVC(6.0.3790.4675);Podemos saber que está utilizando una red local, y que está usando un cliente de correo de MS, tal vez el sistema está comprometido. Para asegurar esto sería necesario realizar un análisis forense de dicho equipo.
Otro uso que podriamos dar es intentar localizar el paradero de alguien que me mando un mensaje, un conocido, amigo etc. puedo buscar el encabezado:
Received: from [192.168.1.146] ([201.152.165.XXX])lo geoposiciono, y luego utilizo los mapas para ver su casa ...
Para otros fines diferentes al análisis forense, esto asusta, ¿o no?
Afortunadamente o desafortunadamente, depende desde donde lo veamos, hay servicios como gmail que si utilizas la interface web no generan tu dirección ip por políticas de privacidad, pero ante una petición judicial SI proporciona esta información. Claro que si utilizas un cliente de correo para enviar tus mensajes, gmail también añade el encabezado desde que IP se recibió.
Concluyendo, es factible tener una idea de donde se originan los correos electrónicos, algunos servicios solo dan esta información ante una petición judicial, pero si los dán. Así que eviten hacer "cosas", ya que se puede rastrear, y si esas "cosas" se las hacen a ustedes también se puede rastrear.
Para asesoría o consultoria no duden en contactarme ...
